De la Continuidad Tecnológica a la Continuidad de Negocio

Es indudable que en los últimos años ha crecido la preocupación en las organizaciones por garantizar la continuidad de las operaciones críticas del negocio.   Esta tendencia  puede ser debida a diversos factores, como las numerosas normas o estándares que abordan esta problemática (ISO 27000, la BS 25999 o la ISO 22301…),  los marcos metodológicos que aúnan buenas prácticas en la materia (COBIT, ITIL®…), organizaciones sin ánimo de lucro que tratan y fomentan la temática (ISACA, Business Continuity Institute…) o los numerosos antecedentes de eventos no deseados  que han provocado impactos muy importantes  en organizaciones muy conocidas. Todos recordareis el incidente del WindSord, el ataque sufrido por la plataforma PlayStationNetwork de Sony, el atentado a las Torres Gemelas, la reciente caída del servicio WhatsApp…

El problema que se encuentran muchas organizaciones que quieren proteger sus operaciones críticas es, dentro de la complejidad que tiene cada negocio, cómo comenzar a aplicar buenas prácticas en materia de continuidad de negocio.  Lo recomendable en una situación de este tipo es comerse el elefante en pequeños trozos que permitan ir expandiendo el foco. Y justo en este momento nos acordamos de las tecnologías de la información y comunicaciones (en adelante TIC).  Hay que tener en cuenta que gran parte de la operativa de las compañías está soportada por TICs y que  la tendencia tecnológica al alza en la que vive el mundo actual ha hecho que haya aumentado la dependencia que el negocio tiene de ellas.

Nuestra experiencia nos dice que el departamento de TI es un excelente punto de partida para, partiendo de un plan de contingencia de TI (identificar procesos críticos, sistemas TI clave, tiempos de recuperación mínimos, puntos de recuperación objetivos, existencia de procesos manuales alternativos, definición de estrategias de recuperación, establecimiento de Roles y Responsabilidades y del Plan de Recuperación frente a Desastres…) extender el concepto de continuidad hacia los niveles superiores de la organización, dando un paso clave de madurez en una compañía… “de la continuidad tecnológica a la continuidad de negocio”.

Para dar este paso es muy importante que el CIO asuma tanto el liderazgo como  el reto de transmitir a la Alta Dirección que “su” hoja de ruta simplifica las cosas, porque ya hay una estructura de roles y responsabilidades (Cultura de Comités, Equipos de Recuperación, Responsable de Continuidad…), ya se habla de riesgos, de cómo mitigarlos, de procesos críticos, de estrategias de recuperación, de planes de recuperación asociados…. y que si la organización aprovecha esa inercia obtenida a partir del plan de contingencia será más fácil impulsar y elevar el concepto de “continuidad”. En ese momento el CIO trasladará la “pelota” al techo de la Alta Dirección, que comenzará a pensar en términos de continuidad, identificando necesidades y fomentando la toma de decisiones.  Si se consigue captar el interés de la Alta Dirección  se percibirá la necesidad. A veces esto se consigue de manera curiosa, recuerdo una reunión en la que los miembros del Comité de Dirección no entendían la diferencia entre una incidencia normal y otra que diera lugar a la activación del plan de continuidad. El conocimiento que el CIO había obtenido le permitió  explicarles que necesitaban el Análisis de Impacto en el Negocio (BIA) porque introducía un elemento fundamental, la variable temporal. Esta variable era lo que convertía una incidencia de un tipo en una de otro.
  

Esta hoja de ruta es la que aconsejamos seguir en clientes de muy diversos sectores y con problemáticas de muy diversos tipos. En próximas entradas explicaré cómo mantener el sistema de Gestión de Continuidad de Negocio a través de la implantación de una Oficina de Continuidad.